[发明专利]k8s网桥插件实现方法、装置、电子设备和可读存储介质

说明书

本申请提供一种k8s网桥插件实现方法、装置、电子设备和可读存储介质，通过调用网桥插件以进行pod的虚拟网桥配置与生成，并为对应的docker容器配置固定IP并进行VLAN划分。在生成pod时，调用网桥插件为pod添加虚拟网桥、VLAN标签和网段。在为pod添加容器时，为容器配置所添加的虚拟网桥以及所述固定IP、划分的VLAN的标签，其中，容器的固定IP和虚拟网桥网关IP在同一网段内。本方案中，可为每个运行在k8s集群中的pod生成虚拟网桥，并借助虚拟网桥为pod内的容器进行IP分配，模拟了非k8s集群中主机加容器的环境，并且符合k8s所使用的容器网络规范，能够被k8s直接纳管。

技术领域

本发明涉及网络技术领域，具体而言，涉及一种k8s网桥插件实现方法、装置、电子设备和可读存储介质。

背景技术

在Kubernetes的网络模型中，最小的网络单位是Pod。Pod的网络设计原则是IP-per-Pod，即Pod中container共享同一套网络协议栈，具有相同的网络命名空间。Pod内的container通过localhost+port访问，类似于Liunx中进程访问的方式。Kubernetes对集群网络的设计原则包括如下几点：所有容器都可以不用NAT(Network Address Translation，网络地址转换)和别的容器通信；所有节点都可以不用NAT和所有容器通信，反之亦然；容器的地址和外部看到的地址是同一个地址；同一pod内，容器之间通信通过pod-ip+容器映射port进行。

传统的k8s技术应用在攻防靶场时，k8s NameSpace相当于一个集群网络环境(一个独立的子网环境)，而每个pod相当于一台运行容器的虚拟主机。然而根据传统的k8s pod技术，pod为最小的网络单位，pod内的容器共享pod-ip资源，并没有属于自己单独的ip地址。这就造成了无法使用k8s技术模拟真实环境中主机运行容器，每个容器都有自己ip的靶标虚拟环境。

发明内容

本发明的目的包括，例如，提供了一种k8s网桥插件实现方法、装置、电子设备和可读存储介质，其能够模拟非k8s集群中主机加容器的环境，且能被k8s直接纳管。

本发明的实施例可以这样实现：

第一方面，本发明提供一种k8s网桥插件实现方法，应用于k8s集群中的节点，所述方法包括：

调用网桥插件以进行pod的虚拟网桥配置与生成，并为对应的docker容器配置固定IP并进行VLAN划分；

在生成pod时，调用所述网桥插件为所述pod添加所述虚拟网桥、VLAN标签和网段；

在为所述pod添加容器时，为所述容器配置所添加的所述虚拟网桥以及所述固定IP、划分的VLAN的标签，其中，所述容器的固定IP和所述虚拟网桥网关IP在同一网段内。

在可选的实施方式中，所述k8s集群中具有pod虚拟网络资源共享接口容器，所述pod虚拟网络资源共享接口容器的容器端口映射至所述pod中。

在可选的实施方式中，为所述pod添加的所述虚拟网桥、VLAN标签和网段包括多组。

在可选的实施方式中，所述方法还包括：

将所述pod的虚拟网桥配置信息以及所述docker容器的固定IP、VLAN划分信息通过服务接口发送至存储系统进行存储。

在可选的实施方式中，所述方法还包括：

在接收到用户终端发送的运程连接登录请求时，向所述用户终端反馈所述docker容器的固定IP信息；

在所述用户终端成功登录所述docker容器后，调用网络诊断工具获得相同VLAN的docker容器的IP地址以及不同VLAN的docker容器的IP地址，以验证是否对docker容器进行了组网和VLAN划分配置。